紧急补丁解决MS Exchange Server零天
电脑视觉如何保护珊瑚礁
ENEA推出5G MicroCore,以支持工业4.0的民营企业网络
BBC任命新的数字和技术领导者
Codecov供应链攻击具有Solarwinds的回声
SERCO确认BABUK赎金软件攻击
不寻常的Deakcry Ransomware使用“罕见”的加密方法
Tata Communications增长了IoT足迹
荷兰语通过披露加密警察协作的细节来指责英国的“损坏的信心”
瞻博网络为网络添加了WAN,虚拟网络辅助技术到网络组合
微软和Singtel通过Azure Stack队伍的团队
政府任命数字领导角色并建立新的数字办事处
在微软的行业云战略内
DCMS发布关于开放数据访问以使斗鸡经济增长的报告
高通宣布Nuvia收购计划
Asda袋子ex-marks和spencer cio
CityFibre将全纤维网络扩展到彼得伯勒
Qualcomm,5G Rowndorset Seed Partnership审判养殖用例
ATOS和HDF能量将以2023年建立“绿色氢气动力”数据中心
近3000万英国移动用户遭受归属中的信号问题
Cyber​​ Cotland提供集中的安全资源集线器
诺基亚传统的开放式推动CPQD合作伙伴关系
Grindr投诉结果为9.6亿欧元GDPR罚款
Nova在流媒体问题上投下光线,因为能量需求飙升
前NCSC BOSS Ciaran Martin加入网络风险投资衣服
CIO将SILED IT团队和工具归咎于未对准
诺基亚,关键桥无线伪造合作伙伴关系,以提供企业CBRS
指南狗数据策略导航组织视图的路径
争议的PostgreSQL错误被利用在加密僵尸网络中
量子是几年之后,但今天可以制作商业案例
英国建设市售的量子电脑
诺基亚粉笔起来新的芬兰5G获胜
机器人律师获得Sberbank角色
政府使用“一般认股权证”授权电脑和电话黑客是非法的
FTTH委员会欧洲抨击纤维网络的误导广告
EE Tops Rootmetrics UK 5G调查
欧盟援助资金用于培养“不负责任的情报机构”在高科技监测中
iskratel与Potosí光纤部署的世界顶部
以太网如何成为世界网络标准
ServiceNow现在推出Azure的平台
NHS举报人隐私担忧传递给监管机构,但竞选人员没有屏住呼吸
通过AWS Cloud Collaboration,ARM缩小全球数据中心的占地面积
Wi-Fi 6准备用于运营商网络部署
英国宣布在数字付款的演变中保护现金的建议
第三方代码错误留下了Instagram用户,以上帐户收购风险
英国政府设立了工作队,以解决Comms Tech'市场失败'
新西兰央行IT系统在网络攻击中突破
公共部门IT领导者与数据基础架构遗产斗争
审查贷款费用:政府在欧盟法律上受到挑战的政府的税收政策
Re:发明2020:AWS CEO Andy Jassy重新定义混合云
您的位置:首页 >产品 > 智能硬件 >

紧急补丁解决MS Exchange Server零天

2021-09-17 13:43:56 [来源]:

使用本地版本的Microsoft Exchange Server的组织面临有针对性攻击的风险,利用三个新披露的零点漏洞,这些零点漏洞已经被与中国国家相关的恶意演员所利用。

三个漏洞,分配CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065使威胁参与者能够访问受害者电子邮件帐户并安装恶意软件以获得对其更广泛的环境的长期访问。根据微软的威胁情报中心(MSTIC),该活动归因于称为铪的群体的高度信心。

铪高级持久威胁(APT)集团主要是美国的针对组织,而过去已打击医学研究组织,律师事务所,大学,国防承包商,政策智库和非政府组织(非政府组织)。虽然中国为基础,但它来自位于美国的租用虚拟私人服务器(VPS)基础设施。

它之前,使用合法开源框架 - 例如CONDONT和CONTROL(C2),它已经通过互联网服务器中的漏洞损害了受害者。在受害者的网络中,铪通常会将数据终止到文件共享站点。

迄今为止,铪是我们看到使用这些漏洞的主要演员,“微软的客户安全和信托,汤姆伯特,在一个博客文章中。

“攻击包括三个步骤。首先,它将使用被盗的密码或使用先前未被发白的漏洞来获取交换服务器,以伪装自己作为应该访问的人。其次,它会创建所谓的Web shell以远程控制受阻机服务器。第三,它将使用该远程访问 - 从基于美国的私人服务器运行 - 从组织网络中窃取数据。

“我们专注于保护客户免受用于执行这些攻击的漏洞,”伯特说。“今天,Wereleared Security Updatesthat将保护客户运行Exchange Server。我们强烈建议所有Exchange Server客户立即应用这些更新。

“Exchange Server主要由商业客户使用,我们没有证据表明Hafnium的活动算是唯一的消费者或这些利用影响其他Microsoft产品。”

“尽管我们迅速努力部署铪爆炸的更新,我们知道许多国家行动者和犯罪集团将迅速移动,以利用任何未被划分的系统。及时应用今天的补丁是对此攻击的最佳保护,“他补充道。

Fireeye Mandiant高级副总裁兼首席技术官Charles Carmakal说:“Fireeye已经观察到这些脆弱性在野外被剥削,我们正在积极与几个受影响的组织合作。除了尽快修补外,我们建议组织还审查他们的系统,以便在部署补丁之前可能发生的利用的证据。“

Sydnam Narang,职员研究工程师,Tenable,Microsoft选择赶紧冲出带外的补丁,而不是等3月的补丁周二下降,建议漏洞非常危险。

“基于我们所知道的到目前为止,利用四种漏洞之一需要任何身份验证,并且可以用于从目标用户邮箱下载消息。哈兰说,可以通过一名坚定的威胁演员将其他脆弱性联合在一起,以促进目标组织网络的进一步妥协。“

“我们预计其他威胁演员在未来几天和几周内开始利用这些漏洞,这就是为什么对使用Exchange Server立即应用这些补丁的组织来说至关重要。”

他还注意到ESET研究,这表明除铪之外还有许多其他APT群体在全球范围内利用脆弱性。

四个CVES工作如下:-26855是一个服务器端请求漏洞,允许攻击者发送任意HTTP请求并验证为Exchange Server; -26857是统一消息服务中的不安全的解序漏洞,它允许攻击者在Exchange服务器上运行代码作为系统,并且需要管理权限或其他漏洞;最后,-26858和-27065都是后期验证任意文件写漏洞,让攻击者将文件写入服务器上的任何路径,它们可以通过它进行身份验证,例如通过利用-26855或使用盗窃凭据。

通过这些漏洞获得访问权限之后,Hafnium将在受妥协的服务器上部署Web Shell以窃取数据并执行进一步的恶意操作。

微软指出,在沃克尼索和Dubex的安全团队的协助下,他报告了攻击链的不同元素,并协助更广泛的调查。“这是积极主动的沟通和情报分担的水平,让社区聚集在一起,以便在他们传播和改善所有人之前进入攻击,”微软表示。

下一步

Microsoft Exchange Server攻击:我们到目前为止所知道的

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。